Europa pone el foco en la regulación de la ciberseguridad de los dispositivos conectados
La Ley de Ciberresiliencia busca proteger a los usuarios frente a productos digitales con características de seguridad inadecuadas.
7 enero, 2023 00:51Visto con perspectiva, el ejercicio 2022 ha sido uno de los más intensos en lo que se refiere a legislación europea en materia de digitalización, con leyes como la Digital Market Act (DMA) o la Digital Service Act (DSA). Sin embargo, por lo que se adelanta, los años venideros también se anticipan con intensidad en esta materia normativa.
Entre los reglamentos que verán próximamente la luz se encuentra la EU Cyber Resilience Act, es decir, la Ley de Ciberresiliencia de la Unión Europea, centrada en proteger a los consumidores y a las empresas frente a los productos con elementos digitales con características de seguridad inadecuadas a lo largo de todo su ciclo de vida útil.
La legislación se enmarca en un contexto en el que el coste anual mundial estimado de la ciberdelincuencia alcanzó los 5,5 billones de euros en 2021 y se contabilizan ataques a las organizaciones a través de programas de secuestro de archivos en todo el mundo cada 11 segundos.
También, se calcula que los costes anuales de las violaciones de la seguridad de los datos ascienden como mínimo a 10.000 millones de euros y los de los intentos malintencionados de perturbar el tráfico en internet, al menos, a 65.000 millones de euros.
De hecho, según un informe de Cybersecurity Ventures, se prevé que los gastos a nivel global de la ciberdelincuencia crezcan un 15% anual entre 2021 y 2025 como consecuencia del "incremento de la superficie de ataque" derivado de los procesos de transformación digital.
Así, los expertos de ESET, una compañía de software especializada en seguridad online, afirman que las organizaciones, independientemente de su tamaño, "nunca han estado tan expuestas a los ciberataques" como lo están actualmente.
A esto se suma el amplio despliegue de productos inteligentes o conectados, que ha abierto un nuevo punto débil, ya que cualquier problema de ciberseguridad puede incidir en toda la cadena de suministro, que, a su vez, puede derivar en perturbaciones de las actividades económicas y sociales en todo el mercado interior, reducir la seguridad e incluso poner en peligro vidas.
Un texto de referencia internacional
En este contexto, la Ley de Ciberresiliencia se sitúa como una de las legislaciones más necesarias para garantizar la seguridad digital y limitar las vulnerabilidades de este tipo de artículos, que constituyen una de las principales vías de los ataques.
Según precisan desde el organismo impulsor, además de ampliar la responsabilidad de los fabricantes al obligarlos a facilitar apoyo de seguridad y actualizaciones de los programas informáticos a fin de eliminar los puntos vulnerables, permitirá a los consumidores tener más información sobre la ciberseguridad de los productos que compren.
"Del mismo modo que podemos confiar en un juguete o un frigorífico con el distintivo CE, la Ley de Ciberresiliencia garantizará que los objetos y programas informáticos conectados que compremos tengan sólidas salvaguardias en materia de ciberseguridad", precisó Margrethe Vestager, vicepresidenta ejecutiva responsable de la cartera de una Europa Adaptada a la Era Digital.
En concreto, esta normativa, la primera de este tipo en la región comunitaria, incluye normas sobre la introducción en el mercado de productos con elementos digitales para garantizar su ciberseguridad y requisitos en el diseño, desarrollo y fabricación de este tipo de dispositivos, así como obligaciones de los agentes económicos.
Además, suma pautas en materia de procesos de tratamiento de puntos vulnerables establecidos por los fabricantes para asegurar la ciberseguridad de los elementos referidos durante todo su ciclo de vida útil. Así, los fabricantes también tendrán que notificar los puntos vulnerables e "incidentes activamente aprovechados".
Por último, la normativa incluye reglas sobre el control y la vigilancia del mercado.
En resumen, esta propuesta hace recaer la responsabilidad en los fabricantes, que deberán garantizar que sus productos con elementos digitales que se comercializan en la UE cumplen con los requisitos de seguridad dispuestos por el organismo regulador, garantiza una mayor protección de derechos como la privacidad de cara a los consumidores.
Desde la Comisión avanzan que esta normativa, probablemente, se convertirá en un texto de referencia internacional, más allá del mercado interior de la Unión Europea.
Próximos pasos
La Ley de Ciberresiliencia fue anunciada por la presidenta de la Comisión Europea, Ursula von der Leyen en septiembre de 2021 y se basa en la Estrategia de Ciberseguridad de la UE de 2020 y en la Estrategia de la UE para una Unión de la Seguridad, también de 2020.
Actualmente, la legislación se encuentra en un proceso de consulta por parte del Parlamento y el Consejo Europeo que, según los expertos, podría extenderse durante uno o dos años. Una vez finalice, los agentes económicos y los Estados miembros tendrán dos años para adaptarse a los nuevos requisitos.
No obstante, la obligación de notificación de los fabricantes de los puntos vulnerables sí se aplicará un año después de la fecha de entrada en vigor, ya que requieren menos ajustes organizativos que las demás obligaciones.
"Al introducir la ciberseguridad desde el diseño, la Ley de Ciberresiliencia contribuirá a proteger la economía europea y nuestra seguridad colectiva", afirma, Thierry Breton, comisario de Mercado Interior. "Europa solo será tan fuerte como lo sea su eslabón más débil, sea este un Estado miembro vulnerable o un producto inseguro en la cadena de suministro".